Zum Datenabgleich bei Beschäftigten der Deutschen Bahn.

von Rechtsanwältin Svenja Sottorf, Berlin

20.02.2009. 43, 1.000, 173.000, 220.000: Die Zahl der überprüften Mitarbeiter wird von der DB AG ständig nach oben korrigiert. Sie ließ wohl alleine in den Jahren 2002 und 2003 173.000 Mitarbeiter, also etwa 75 Prozent ihrer Mitarbeiter, im Jahr 2005 sogar die gesamte Belegschaft überprüfen (Screening). Telefon- Adress- und Kontodaten von Mitarbeitern wurden zwecks Korruptionsbekämpfung mit Daten von Firmen (potentieller) Auftragnehmer der Bahn abgeglichen. Weder der Betriebsrat noch die betroffenen Beschäftigten wurden informiert.

Angesichts dieser Vorgehensweise und der daran in den letzten Tagen geübten öffentlichen Kritik fragt sich, was die Bahn darf und was nicht. Grundlage für die Beantwortung dieser Frage ist das Bundesdatenschutzgesetz (BDSG), gibt es doch in Deutschland (noch) kein speziell für den Datenschutz im Arbeitsverhältnis geltendes Gesetz.

Da die betroffenen Arbeitnehmer in den Datenabgleich nicht eingewilligt haben, richtet sich dessen Zulässigkeit nach § 28 BDSG. Hier gilt, wie für alle Datenschutzbestimmungen, hinsichtlich des Dateneingriffs das Prinzip: „So selten wie möglich und so wenig wie möglich“. Voraussetzung ist ein berechtigtes Interesse des Datenverarbeiters an der Datenverarbeitung sowie dessen Erforderlichkeit und Verhältnismäßigkeit.

Für den konkreten Fall heißt das, dass ein berechtigtes Interesse der Bahn an dem Datenabgleich zwar im Ausgangspunkt nicht abzusprechen ist, da durch Korruption erheblicher Schaden verursacht wird.

Allerdings dürfte eine Überprüfung aller Beschäftigten nicht erforderlich gewesen sein. Dies wäre nur der Fall, wenn alle diese Beschäftigten in Positionen tätig wären, in denen sie überhaupt Einfluss auf eine Auftragsvergabe nehmen könnten.

Aber selbst wenn ein „flächendeckender“ Datenabgleich zur Korruptionsbekämpfung erforderlich wäre, bestünden dennoch erhebliche Zweifel an seiner Verhältnismäßigkeit. Hier sind das Interesse des Arbeitgebers und Arbeitnehmers gegeneinander abzuwägen:

Das Interesse der Bahn an einer effektiven Korruptionsbekämpfung hat zwar Gewicht, doch wiegt das schiere Ausmaß der vorgenommenen Überprüfung schwerer: Es wurde eine erhebliche Anzahl von Daten eines riesigen Personenkreises über mehrere Jahre hinweg im Wege des Datenabgleichs verarbeitet. Erschwerend kommt hinzu, dass die Überprüfung heimlich und verdachtsunabhängig erfolgte („Rasterfahndung“). Schlussendlich hat die Bahn es auch versäumt, die Betroffenen zumindest nachträglich von der Maßnahme zu unterrichten.

Im Ergebnis ist der massenhafte Datenabgleich daher nicht nur als nicht erforderlich anzusehen, sondern auch als unverhältnismäßig. Er ist daher durch § 28 BDSG nicht gedeckt und verstößt somit gegen geltendes Datenschutzrecht.

Darüber hinaus war die Datenverarbeitung auch aus einem arbeitsrechtlichen Grund unzulässig, weil die Bahn nämlich verpflichtet gewesen wäre, den Betriebsrat zu beteiligen. Dies ergibt sich aus § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG). Er eröffnet dem Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

Nach der Rechtsprechung des Bundesarbeitsgerichts (BAG) greift die Vorschrift auch bei der bloß objektiven Überwachungseignung einer technischen Einrichtung ein (die Absicht zur Überwachung bzw. die „Bestimmung“ dazu wird dann vermutet und wäre ggf. vom Arbeitgeber zu widerlegen). Außerdem ist das Mitbestimmungsrecht auch gegeben, wenn Daten, die auf nicht-technischem Weg gewonnen werden, anschließend per EDV ausgewertet werden, sofern sie verhaltens- bzw. leistungsbezogen sind.

Im Ergebnis erfasst § 87 Abs. 1 Nr. 6 BetrVG daher auch den computergestützten Abgleich von personenbezogenen Daten der Bahnmitarbeiter. Da der Betriebsrat, soweit derzeit bekannt ist, bei der Datenabgleichung nicht einbezogen wurde und daher sein Mitbestimmungsrecht nicht ausüben konnte, ist die Maßnahme auch aus diesem Grunde rechtswidrig.

Als Konsequenz der massenhaften Überprüfung von Bahnmitarbeitern und der bereits zuvor bekannt gewordenen Fälle des Abfilmens von Verkaufsangestellten bei dem Discounter LIDL ist eine Verstärkung des Datenschutzes von Arbeitnehmern zu fordern. Das BDSG jedenfalls ist ein zahnloser Tiger:

Erstens beurteilt sich die Zulässigkeit eines Dateneingriffs weitgehend anhand von weit gefassten und damit unklaren Auffangregelungen. Sie lassen Arbeitgeber wie Arbeitnehmer weitgehend im Unklaren darüber, ob ein konkreter Eingriff zulässig ist oder nicht.

Zweitens fehlen wirksame Regelungen zur Durchsetzung des Datenschutzes. Die Möglichkeit, ein Bußgeld von bis zu 250.000 EUR zu verhängen (§ 43 BDSG), falls der „Datenverarbeiter“ die unzulässige Überprüfung fahrlässig begangen hat, hält finanzstarke Unternehmen nicht von fragwürdigen Dateneingriffen ab. Außerdem ist der Nachweis der Fahrlässigkeit gerade wegen der unklaren Regelungen schwer zu führen.

Praktisch wird deshalb ein Bußgeld meist erst verhängt, wenn der Verantwortliche einer Auforderung des Datenschutzbeauftragten, die seiner Ansicht nach unzulässige Datenverarbeitung abzustellen, nicht nachgekommen ist. Das greift aber in Fällen wie diesem zu kurz, weil das Problem in dem Ausmaß der bereits verübten Rechtsverstöße liegt und es daher unangemessen erscheint, nur das Fortfahren mit dem Datenschutzverstoß zu verhindern.

Dass sich Führungskräfte der Bahn im Zusammenhang mit dem Datenabgleich strafbar gemacht haben, ist unwahrscheinlich. § 44 BDSG setzt dafür einen vorsätzlichem Datenschutzverstoß gegen Entgelt oder in Bereicherungs- bzw. Schädigungsabsicht voraus. Das Strafgesetzbuch (StGB) ahndet nur einige vorsätzliche Datenschutzverstöße wie das unbefugte Abhören (§ 201 StGB), das Öffnen von Post (§ 202 StGB) oder das Ausspähen besonders gesicherter Daten, d.h. das „Hacken“ (§ 202a StGB).

Das juristische Fazit nach geltendem Recht lautet daher im Wesentlichen: Die Arbeitnehmer haben einen Unterlassungsanspruch gegen die Bahn gemäß §§ 1004, 823 Bürgerliches Gesetzbuch (BGB) sowie ein Recht darauf, dass die Daten gelöscht werden (§ 35 BDSG). Ein Schadensersatzanspruch (§ 7 BDSG) besteht wohl nicht bzw. nur dann, wenn Arbeitnehmer nachweisen könnten, durch die Datenüberprüfung einen (Vermögens-)Schaden erlitten zu haben. Dieser Nachweis dürfte jedoch schwer zu führen sein. Deshalb ist es eher die öffentliche Meinung, durch die die Bahn zu einer künftigen Verhaltensänderung gebracht werden kann.

Nähere Informationen zu diesem Vorgangn finden Sie hier:

• Datenskandal hat noch größere Ausmaße, focus.de, 03.02.2009
• Datenaffäre und Tarifkonflikt: Bahnchef Mehdorn wieder unter Druck, wiwo.de, 29.01.2009
• Bahn spähte Hunderte Mitarbeiter aus, faz.net, 21.01.2009
• Arbeitsrecht aktuell: 10/132 Kündigung einer Compliance-Beauftragten der DB
• Arbeitsrecht aktuell: 09/137 Gesetz zur Änderung datenschutzrechtlicher Vorschriften, vom 10.07.2009
• Arbeitsrecht aktuell: 09/082 Krankheitsdaten im Müll
• Arbeitsrecht aktuell: 09/064: Das Arbeitnehmerdatenschutzgesetz kommt (nicht):